【问题标题】:Limiting access of a GCP Cloud IAM custom role only to a bucket将 GCP Cloud IAM 自定义角色的访问权限仅限于存储桶
【发布时间】:2020-05-01 04:43:26
【问题描述】:

AWS 通过其 IAM policies 提供了一种方法来限制特定用户/角色特定命名资源的访问。

例如以下权限:


    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::confidential-data",
        "arn:aws:s3:::confidential-data/*"
      ]
    }

将允许对confidential-data 存储桶及其内容的所有List*Get* 操作。

但是,通过 GCP 的custom roles 时,我找不到这样的选项。

现在,我知道对于 GCS 存储桶(这是我的用例),您可以创建 ACLs 以实现(或多或少?)相同的结果。

我的问题是,假设我创建了一个由someone@myaccount-googlecloud.com 标识的服务帐户,并且我希望此帐户对gs://mybucket-on-google-cloud-storage 具有读/写 权限,我应该如何格式化 ACL这样做?

(目前,从组织/文件夹/项目继承的其他权限对我来说并不重要)

【问题讨论】:

    标签: google-cloud-platform google-cloud-storage google-cloud-iam


    【解决方案1】:

    来自documentation

    授予 服务帐户 foo@developer.gserviceaccount.com WRITE 访问 bucket example-bucket 的权限:

    gsutil acl ch -u foo@developer.gserviceaccount.com:W gs://example-bucket
    

    授予 服务帐户 foo@developer.gserviceaccount.com READ 访问 bucket example-bucket 的权限:

    gsutil acl ch -u foo@developer.gserviceaccount.com:R gs://example-bucket
    

    【讨论】:

      【解决方案2】:

      ACL的格式如下

      {
        "bindings":[
          {
            "role": "[IAM_ROLE]",
            "members":[
              "[MEMBER_NAME]"
            ]
          }
        ]
      }
      

      请参考Google Docs

      例如

      {
       "kind": "storage#policy",
       "resourceId": "projects/_/buckets/bucket_name",
       "version": 1,
       "bindings": [
        {
         "role": "roles/storage.legacyBucketWriter",
         "members": [
          "projectEditor:projectname",
          "projectOwner:projectname"
         ]
        },
        {
         "role": "roles/storage.legacyBucketReader",
         "members": [
          "projectViewer:projectname"
         ]
        }
       ],
       "etag": "CAE="
      }
      

      【讨论】:

        猜你喜欢
        • 2019-10-31
        • 1970-01-01
        • 2015-11-02
        • 2022-07-27
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 2017-01-01
        相关资源
        最近更新 更多